觀點

馬偕讓AP授權分工 資安不只是IT責任

2011 / 07 / 18
廖珮君
馬偕讓AP授權分工  資安不只是IT責任

紅十字是災難援助的象徵,也是馬偕紀念醫院的院徽,在台灣還是日本統治的年代,加拿大長老教會就派遣馬偕來到台灣傳教,並從事醫療服務,當時馬偕在淡水開立的偕醫館,不僅是台灣北部第一所西醫院,也是現在馬偕醫院的前身,隨著100多年時光過去,馬偕醫院由磚造平房轉變成鋼筋水泥的現代大樓,醫療服務也從最初的紙本作業漸漸走向E化、電子化。

 

推動電子病歷  成功關鍵在員工教育

 

馬偕紀念醫院資訊室主任湯進聖表示,馬偕從1995年開始進行病歷數位化,超過90%的病歷都已經電子化,但是這與衛生署規範必須使用電子簽章的電子病歷並不相同,為了響應衛生署政策,近年來,馬偕開始將電子簽章整合至病歷系統內,目前已完成的範圍有醫療影像報告(包含超音波、電腦斷層掃描、核磁共振、核磁造影等)、放射科報告、及護理記錄,2011年預計加入血液檢驗報告、出院病歷摘要、及門診處方箋(即藥單)。

 

在整合電子簽章的過程中,技術面沒有太大問題,「使用方便性」卻是影響整合成效的關鍵。湯進聖指出,最初由第三方協力廠商設計的電子簽章程序,要求醫生在病歷系統輸入資料後,另外再打開一隻程式執行簽章,增加作業程序又浪費時間,也引起醫事人員抗拒,所以之後進行改版設計,由內部資訊室同仁改良簽章產生的流程,並結合使用情境提供背景簽、批次簽、補簽、與代簽等不同選擇,讓醫事人員不必多花時間在簽章作業上。

 

所謂背景簽,就是在病歷系統運作的背後執行簽章動作,也就是說,當醫事人員按照往常程序:插卡、輸密碼、打報告,在按下完成鍵的同時,背景程式會自動做簽章確認的動作;倘若報告數量龐大,也可以選擇批次上簽章的方式,降低作業負擔,倘若忘了攜帶醫事人員卡或卡片故障,只要在24小時內再行登入,程式就會自動執行補簽作業。

 

醫院推動電子病歷的好處在於少蓋章、少列印、免調閱紙本病歷,尤其後者無紙化的效益最大、卻也最難達成,因為不容易克服醫事人員使用習性,「推動電子病歷的重點,在於使用者教育訓練,而非技術,」湯進聖說,尤其是醫生年齡差距大,稍稍年長的醫生都已經習慣紙本作業,很難改為PC作業,為此,馬偕決定採用漸進式作法,由部份單位先行啟動,最終希望達到全院無紙化的目標。

 

在實際執行上,目前護理資訊系統正朝無紙化方向前進,預計20111月開始不再列印紙本,尤於護理記錄繁瑣、資訊量大,每一筆紀錄都要蓋章,無紙化可以大幅降低護理人員的作業負擔,使用者接受度較高,另外,還有40%的門診診間做到不調閱紙本病歷,這些診間大多為內科部,至於外科部因為有手繪圖的需求,電子病歷系統只能看到醫令/SOP、看不到繪圖資料,因此仍維持醫生先在系統修改資料,再印成紙本交由跟診護士貼在病歷上的做法。

 

 

 馬偕紀念醫院資訊室主任湯進聖表示,在整合電子簽章的過程中,技術面沒有太大問題,「使用方便性」卻是影響整合成效的關鍵。

 

 

 

ISMS導入:機房、EMR、權限管控

 

電子病歷的作業模式與紙本病歷不同,在資安防護的作法上也要有所改變,馬偕在20098月通過ISO 27001認證,認證範圍包含機房、電子病歷系統、權限控管,湯進聖表示,之所以特別將權限控管列入ISMS驗證範圍內,一來因為電子病歷檢查條文有很多是與權限控管有關,二來則是權限管控與資料外洩息息相關,希望藉由ISMS導入機會,徹底檢視並強化整個權限管控機制。

 

湯進聖認為,導入ISMS最大的效益,在於重新檢討作業流程,很多以前知道要做卻沒做的事情,透過ISMS導入變成非做不可的標準作業流程。

 

以機房管控為例,在導入ISMS之前,當然也會管控進出人員,只是沒有用紙本記錄,如今則將管控程序標準化且會留下記錄,舉例來說,委外廠商進出機房必須要有內部IT人員陪同,如果委外廠商空手進去機房就要空手出來,倘若委外廠商從機房攜出設備,就要在簽到本上註明清楚,同時配合監控攝影機及紙本簽到記錄,確實做好人員進出管控,日後若有問題也可以循線追查。

 

再以權限管控為例,藉由ISMS導入才發現有部分員工擁有非職責範圍內的AP權限,這是因為過往員工申請帳號權限的方式沒有標準化,使用者可能打通電話要求開啟權限就可以,但是導入ISMS後,讓AP權限有了很好的管理流程,使用者必須先填申請表,並經由電子簽核系統交由主管審核,審核通過才能開放,而且每半年就要進行AP帳號權限的盤點,透過稽核制度要求主管落實權限管理的責任。

 

AP權限控管分工  資安人人有責

 

之所開放主管審核權限,原因在於醫院機密資料種類繁複,不單只是病歷資料而已,舉凡行政類的採購訂單、進銷存、薪資財會等資料,也都在保護範圍內,再加上醫療組織龐大、分工精細,單單一個掛號處可能就分成好幾個組別,每個組別各自負責不同業務,在職責不同前提下,各組工作人員的權限自然也就不相同,但這中間的差異只有主管才會知道,資訊人員不可能比部門主管還清楚每個人的工作職掌、或是可以擁有哪些AP的權限,因此才會將AP權限下放至各部門主管手上,由主管決定是否開始予底下的員工。

 

也就是說,馬偕在系統帳號與權限控管上採用分工方式,賦予各部門主管權限管理的責任,由各部門主管負責管理與定期審核該單位人員之使用權限,資訊室則負責控管與審核各部門特殊權限,讓帳號與權限的管理從使用單位到資訊單位,做到人人有責,如此一來,權限管理的工作才能夠更有效於日常業務運作中執行。

 

此外,權限管控也與HR系統整合,一旦遇到員工離職或職務異動,就自動清除該員工的AP權限,在嚴謹的分層授權流程下,才能有效確保資料不外洩。

 

權限管控不只是如何授權、該不該授權的問題,還必須將實際應用狀況一併考量進來,所以馬偕也設計了二次確認及自動登出機制。湯進聖進一步解釋,醫院所有的AP幾乎都在同一個地方登入,以前只要有權限,就可以進入HIS系統查詢、修改、或刪除資料,缺點是,倘若使用者(暫且稱為某甲)忘記登出,之後任何一個使用這台電腦的人,都能使用某甲的身份、看到在某甲所擁有AP權限下才能看到的資料,形式資料安全防護上的漏洞。

 

因此,馬偕針對電子病歷、報告、醫令等與病患資料相關的系統,設有二次身份確認及靜止10分鐘自動登出的機制,前者是指使用者登入系統後,若需要查詢資料必須再輸入一次帳號密碼進行二次確認,後者在系統內設計時器,倘若10分鐘以後畫面沒有任何動作,系統會自動登出,藉此避免因使用者習慣不好而造成的資料外洩風險。

 

 

透過教育訓練  建立員工與委外廠資安意識

 

「資訊安全不是一種產品,而是一個需要持續不斷推動的流程,」湯進聖說,做資安必須秉持PDCA的精神,藉由不斷的落實與檢查機制,改善資訊安全管理不足之處,才能讓資安融入醫院文化,成為同仁日常業務的習慣,因此,相關的教育訓練就變得非常重要。

 

馬偕每年至少舉辦3~4場全院性課程,這是由員工教育委員會主辦,主題通常由資訊人員提出建議,像2010年就以電子病歷為主,2011年則規劃個資法為主軸,主題確定後,再由HR部門尋找講師來授課,通常以外聘講師居多。

 

至於資訊人員在資安相關課程的進修時數,每年至少4小時,就連協力廠商工作人員每年也要參與至少1小時的資安課程,協力廠商可以選擇參加馬偕的訓練課程,或是提出外部受訓的證明。由於協力廠商在開發或維護系統階段,都有可能進入醫院的資料庫、也有接觸機密資料的可能性,所以馬偕才會提出受訓要求,希望強化協力廠商的資安意識。

 

除了教育訓練課程外,馬偕也依照ISO規範,要求員工及協力廠商填具保密切結決書目的是要提醒他們注意資安的重要性。

 

展望2011 積極因應個資法

 

面對2011年的資安規劃,馬偕第一個要做的就是因應新版個資法規範,至於最近話題正夯的雲端運算平台,在目前尚有安全、可用性等疑慮的情況下,短期內不會考慮。

 

湯進聖進一步指出,20104月通過的新版個資法,要求企業必須負起舉證責任,這對很多醫院來說影響很大。醫療資系統開發時間早,當時的儲存設備價格昂貴、程式開發觀念也不同,Log紀錄保存也許不是那麼完整,若要符合舉證要求,勢必得引進一些新的工具,目前,馬偕傾向採購網頁應用程式防火牆或資料庫防火牆類的資安設備,以便未來遇到訴訟案件時,可以用存取紀錄來證明資料不是從馬偕洩露出去。

 

此外,考量到醫院內部接觸病患資料的人很多,為有效落實內部資料使用管理政策,馬偕也計劃找一些資產管理類的設備,如:禁止USB傳輸的工具,作為內部管控之用,但這並不是唯一的方式,湯進聖說,「資安不是買工具,而是一種觀念宣導,」醫院主事者必須負起教育使用者的責任,讓他們明白資料外洩的可能損失及嚴重性,才能提高使用者警覺性,避免在無意間洩露資料,讓病患隱私安全滴水不露。